Hallo, seit kurzem habe ich ein Problem, mit einem Registry Trace, der sich bei jedem Systemstart wieder neu installiert. Durch einen Scan mit AdAware und A² wird das Trace zwar gefunden und lässt sich entfernen, aber wie gesagt kommt es nach jedem Neustart wieder. Dass ich neue Software installiert hätte, durch die das kommen könnte, wüsste ich nicht.

Könnt ihr mir weiterhelfen?

Location des Registry Traces:

Value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop --> Toolbars

HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 08:45:52, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RAMASST.exe
D:\Programme\Browsers\Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Mail\thunderbird.exe
C:\Dokumente und Einstellungen\***\Desktop\QuickSoft\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://scholar.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120219749375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Danke
Piratenbraut

Hallo piratenbraut,

kennst du diesen Eintrag?
Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Deaktiviere Teatimer, dann
diesen zwei einträge in den abgesicherten Modus fixen.
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

neu booten, scanne dein System mit escan

chaosman

Zitat:

Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Sollte zu Winpcap gehören. Der wird z.B. benötigt, wenn man mit nhsc spielen will.

Hallo Chaosman und Cosinus.

danke für die Hilfe, aber das Problem existiert immer noch und ich fange an zu verzweifeln.

Hier die Schritte die ich gemacht habe.

1. WinPcap deinstalliert
2. Escan runtergeladen, installiert im abgesicherten Modus ausgeführt und log erstellt. Dabei wurde mir angzeigt, dass das System mit der Spyware Ezula infiziert ist. Ich lud das Removal Tool für Ezula von Symantec runter. Der Scan brachte kein Ergebnis für Ezula.
3. bei google gesucht und den Hinweis auf den Trojaner Swizzor bei Sophos gefunden. jetzt weiss ich aber nicht, ob es der wirklich ist. Für Swizzor müssten auch zwei Dateien infiziert sein, bei mir ist es nur eine.
4. Ausserdem habe ich noch einen kompletten AntiVir Scan laufen lassen, auch ohne Ergebnis.

Hier der Log von HJT, der plötzlich sehr anders und komisch aussieht, was den Winows Messenger angeht. Der ist eigentlich deaktiviert. (was hat es mit dem O10 plötzlich auf sich? Ein WinsockVirus? ) und das log von escan (escan_neu):

Nochmal Danke, dabei wäre das Wetter endlich mal erträglich heute.

Grüsse piratenbraut

HJT
***
Logfile of HijackThis v1.99.1
Scan saved at 15:17:37, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\Browsers\Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\QuickSoft\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://scholar.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h++p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120219749375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E931198F-1993-4FD2-8FA3-A68DD512E249}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Escan:
*****

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 05 13:16:32 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 05 13:16:32 2006 => Offending file found: C:\Dokumente und Einstellungen\trt\Desktop\internet.lnk
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 05 13:21:18 2006 => Total Errors: 3
Fri May 05 13:21:18 2006 => Time Elapsed: 00:05:35
Fri May 05 13:21:18 2006 => Total Objects Scanned: 17808
Fri May 05 13:21:18 2006 => Virus Database Date: 5/5/2006

...dazu kommt dass das System seit ca. 2 Stunden unbrauchbar ist und voll ausgelastet. Programme öffnen und schliessen nicht mehr anständig etc. das war heute morgen definitiv noch nicht so.... keine ahnung was da los ist...

Hallo,
das kommt daher, dass du eine falsche Escan Version installiert hast, du hättest die Freeware Version (Escan MWAV) installieren sollen. Deinstalliere Escan wieder (dann sollten auch die O10 Einträge wieder weg sein).
Die ICQ Toolbar hast du nicht erst kürzlich installiert? Ansonsten kann ich erstmal kein Problem ausmachen, hast du noch einen genaueren Pfad den Ad-Aware oder A2 angeben?
Wie kommst du auf Swizzor? Finde nichts was darauf hinweist.


Grüße Wildone

Hi, besten Dank, das war es. Da hatte sich mit dieser Version von escan ein Programm mwagent.exe von microworld hochgeladen, das zwei fressende Prozesse verursachte. Jezt läuft der Rechner wenigstens wieder. Leider läd sich dieses dumme trace, das eigentliche problem, immer noch hoch. IM HJT stimmt auch wieder alles mit O10. Das ICQ Toolbar habe ich deinstalliert.

Ich werde morgen nochmal das richtige escan-version installieren und damit scannen. Die Ergebnisse poste ich wieder rein.

Bis dahin schönen abend noch, ich muss raus...
piratenbraut

Hallo,

Zitat:

Ich werde morgen nochmal das richtige escan-version installieren und damit scannen. Die Ergebnisse poste ich wieder rein.

Musst du nicht, die Ergebnisse sind mit beiden Versionen gleich, nur verträgt sich die Version die du installiert hast mit keinem aktivem weiteren Virenscanner.
Poste noch mal die Adaware Meldung mit genauem Wortlaut.



Grüße Wildone

Hallo,
das Problem hat sich erledigt. Escan hat eine Datei als mit esula-spyware/adware infiziert angezeigt. Eine internet.lnk auf dem Desktop sollte infiziert sein. War aber ein Fehlalarm, da ich diese Datei kenne.

Das Google-Toolbar war schuld, das ich nicht wissentlich installiert hatte. Nach der Deinstallation waren nicht alle Dateien gelöscht. Nach dem ich den Ordner des Toolbars in Programme gelöscht habe gibt es kein Trace mehr nach dem Neustart.

Danke für Eure Hilfe und erfolgreiche weitere Jagd...
priatenbraut